Home >リスクマネジメント・ラボ > 事業継続マネジメント 

リスクマネジメントの専門知識・事例を学ぶ

リスクマネジメント・ラボ
第7回 2011年5月
第6回 2011年2月
第5回 2010年11月
第4回 2010年8月
第3回 2010年5月
第2回 2010年2月
第1回 2009年10月

CBCIの対策講座としての最適! BCMの基本が学べる
BCM-RM研修コース」開催中

Business Continuity Institute (BCI) 日本支部 事務局長 前田 泉  
6回

BCMSの導入及び運用(事業継続戦略の決定)
今回は、「リスクアセスメント(4.1.2)」で特定された脅威に対し、当該脅威への対応として、定められた目標復旧時間内に組織が重要と定めた活動を復旧させるための戦略に関する主要なポイントをおさえたいと思います。

1.事業継続戦略の目的
2.事業継続戦略のポイント(戦略の決定と選択)

 

1.事業継続戦略の目的

事業継続戦略は、リスクアセスメントで特定された脅威に対する有効な対応策を予め検討しておくことにより、最も効率的で費用対効果の高い対策をもって、組織が定めた重要な活動を要求された目標復旧時間内に復旧させようというものです。

BS25999-2においては、以下のようにその目的を定めています。
4.2 事業継続戦略の決定
   (目 的)
   組織が目標復旧時間内に重要な活動を復旧させることを可能にするBCMの取組みを特定する。
「組織を理解する」のステップにおいて行った事業インパクト分析(BIA)のアウトプットとして、「最大許容停止時間(MTPD)」、「目標復旧時間(RTO)」「重要な活動」、重要な活動に関する依存関係、重要な活動を再開するために必要とする経営資源等の情報があります。事業継続戦略では、これらの情報とリスクアセスメントの結果を踏まえて、組織が決定した目的および戦略に合致した既知の最適な復旧戦略および戦術を比較検討し、最大許容停止時間(MTPD)、目標復旧時間RTO、目標復旧時点(RPO)、最大許容データ損失(The Maximum Tolerable Data Loss (MTDL))ならびに最大許容停止時間(RTO)等を確定します。

 

2. 事業継続戦略のポイント(1.戦略の決定と選択)

事業継続戦略を進めるにあたってのポイントは、以下の3点です。 
今回は、事業継続戦略のポイント (1.戦略の決定と選択)について説明します。

1.戦略の決定と選択
2.選択肢と戦術レベル対応の決定と選択
3.経営資源レベルの統合

(1) 費用対効果分析

一般に、効果とコストは正比例します。また、事業継続マネジメントにおいては、時間(あるいは時季)とその影響度にも配慮する必要があるため、同じ脅威であっても被害を最短時間に抑えなければならない場合の対応策とより長い猶予期間が与えられる場合の対応策とでは、費用面で大きな差異が発生します。また、技術革新等が激しい分野の対応策では、価格が大幅に値下がったり、同金額で高付加価値の機能が追加されたりすることが少なくないため、定期的に費用対応効果を見直すことも重要になってきます。

 

(2) 復旧レベルの設定

ひとことに復旧といっても、事業中断前の状態に100%復旧するのか、中断さえも許されないのか、60%程度の柔軟稼働でよいのか等様々な形態、レベルがある。そのため、例えば以下のようなレベルを事前に定め、費用対効果分析とあわせて検討する必要があります。

 

(3) 事業継続戦略策定プロセス

事業インパクト分析およびリスクアセスメントの成果物とともに事業継続戦略を策定する。
・ 事業継続戦略の対象が事業継続マネジメントプログラムの適用範囲の製品およびサービスとなっていることの
  確認
・ 最大許容停止時間(MTPD)の確認と目標復旧時間(RTO)がMTPDより短期間となっていることの確認。
   MTPD>RTO
・ 最大許容データ損失(MTDL)の確認と目標復旧時点(RPO)がMTDLより短期間となっていることの確認。
   MTDL>RPO
・ 既存の戦略がある場合にはギャップ分析を実施し、要求される成果と実際の成果を比較
・ 既存の戦略にまさる効果的で費用対効果の高い戦略の調査
・ 目標復旧時間(RTO)を達成する戦略の特定
・ 費用対効果分析
・ トップマネジメントへの検討結果報告と推奨戦略案の提示
・ 予算、人員といった経営資源を含む事業戦略についてのトップマネジメントの合意

上記プロセスの成果物として組織の事業継続戦略方針が決定されることとなります。
(GPG2010 - Determining Business Continuity Strategy)

 

(4) 事業継続戦略策定にあたっての留意点

事業継続戦略を策定するにあたっては、以下の点に留意する必要がありますが、こちらについては、個々の戦術とあわせて次回、事業継続戦略のポイント(2. 選択肢と戦術レベル対応の決定と選択)であわせて説明をさせていただきます。

□拠点 (Diverse Site)
□複製 (Replication)
□待機設備 (Standby Facilities)
□下請業務 (Subcontracting Work)
□事後対応 (Post-incident Acquisition)
□保険 (insurance)
□何もしない (Do Nothing)

 

事業継続戦略の内容は、規格を読んだだけでは、大変わかりづらいかもしれません。しかしながら、組織の事業継続マネジメント方針や事業インパクト分析(BIA)、リスクアセスメント(RA)で設定した目標や指標と連携しながら、その後の事業継続計画(BCP)につながっていく重要なプロセスとして理解いただければと思います。

次回は、引き続き事業継続戦略のポイント(2. 選択肢と戦術レベル対応の決定と選択)について説明します。

『月刊ISOマネジメント』(日刊工業新聞出版社刊)/RMCAリレー連載⑰「企業経営を強化する実践リスクマネジメント講座」/2010年12月号掲載

執筆者:前田 泉(まえだ いずみ)
 RMCA-J認定上級リスクコンサルタント
 日本リスクマネジャー&コンサルタント協会 理事
 事業継続協会(BCI日本支部) 理事 事務局長
 URL:http://thebci.jp/
 電子メール:imaeda@thebci.jp
 BCM-RM研修コース講師